Om inte lagen efterföljs - Fitnessindustrins hantering av personuppgifter i samband med införan

Respondent 1:

Respondent 1 är väl medveten om vad det kan innebära för ett företag att inte rätta sig efter lagen och därmed drabbas av eventuella konsekvenser om det visar sig att något är helt oförberett. Samtidigt menar personen att det är svårt att förutse allt, men att målsättningen är att vara i fas när lagen träder i kraft den 25e maj i år. I övrigt nämner respondenten att det är svårt att uttrycka sig över just exakt vilka konsekvenserna kan bli, då det inte finns några fall som är rapporterade ännu.

Respondent 2:

Respondent 2 berättar att denna inte har någon aning om vad som kan hända och vilka

konsekvenserna blir, men gissar på att det antagligen blir någon form av bot. Vidare förklarar denne att är det lag på något så är det naturligt att det blir ett straff som påföljd om inte lagen efterlevs. Om inte lagen följs så kan alla ta egna beslut och göra vad dem vill fortsätter respondenten att utveckla. Så detta är viktigt att kolla upp så att det blir rätt för sig eftersom det handlar om organisationens framtid. I övrigt tror respondenten att organisationer kommer ta arbetet med GDPR mer på allvar och genom att införa strängare sanktioner så blir det automatiskt mer konsekvent.

Respondent 3:

Respondent 3 förklarar att denne inte vet hur organisationen står i relation till det, så personen kan inte uttala sig kring sanktionerna. Dock nämner respondenten att rättssystemet är att lita på och att det säkert blir rättvist. Vad gäller konsekvenser för organisationer så berättar personen att det säkert kommer se och bli väldigt olika, men att en detalj som denne hört talas om är att lönebesked kommer att ske på olika sätt. Som förr kommer det inte att gå att maila ut lönebesked till sina anställda och att det då måste tänkas om. Så det kommer bli mycket smådetaljer att tänka på och detta medför olika konsekvenser beroende på hur en organisation arbetar idag och vad de behöver ändra på i framtiden.

Respondent 4:

Respondent 4 berättar att denne inte kan uttala sig gällande sanktionerna, då personen är för dåligt insatt i ämnet.

27 Sammanfattning:

I resultatet från denna frågan är tre av respondenterna eniga om att de inte har någon vidare koll vad gäller sanktioner samt eventuella konsekvenser de kan få för företaget. Samtidigt är två av dessa respondenter eniga om att rättssystemet är att lita på i form av att det ska vara rättvist i samhället när det handlar om lagar och regler. Respondent 1 å andra sidan har god insikt i vad sanktioner kan innebära för verksamheten, men att det samtidigt är svårt att förutse konsekvenserna av det då inga fall ännu finns rapporterade. Respondent 4 nämner ingenting vad gäller sanktioner och konsekvenser, utan förklarar att inget uttalande kan göras på grund av okunskap kring ämnet.

6 Analys

I den här delen av arbetet kommer det att göras jämförelser mellan likheter och olikheter, hitta olika mönster i det empiriska materialet, samt göra tolkningar för att kunna skapa meningar av materialet i sammanhang med det som framkommit i resultats delen. Tolkningar har gjorts på egen hand samt även jämförts med den teori som finns i bakgrundskapitlet i detta arbete.

De rubriker som presenteras nedan är samma rubriker som finns under resultat-delen, då det är de teman som bildats utifrån innehållsanalysen.

6.1 Kommunikation

Enligt Datainspektionen (2018e) är det av vikt att vara kommunikativ och tydlig gentemot sina medlemmar vars uppgifter samlas in. Resultatet i studien påvisar att endast en av fyra respondenter är extra noga med detta. Det som framkommit under intervjuerna är att denne aktivt arbetar med att nå ut med den nya informationen till sina medlemmar. De har talat om varför de begär vissa uppgifter som samlas in, hur de samlas in samt varför de behöver samla in och hantera dessa. Dock nämns det ingenting från respondenterna i hur länge de sparar informationen, mer än att den behöver lagras i bokföringen x antal år. Av resultatet att döma verkar denna punkt vara en osäkerhet hos dem alla. Däremot medger samtliga respondenter i intervjun att de uppgifter som samlas in inte används till något annat syfte än för gymmen själva. En oroande faktor som dykt upp efter genomgåendet av material av resultatet är att endast en av respondenterna nämner att det är viktigt med ett samtycke från medlemmarna.

Resultatet visar att endast en av respondenterna tog upp ämnet under intervjuernas gång. Hen arbetar aktivt med att samla in samtycke för att få hantera medlemmarnas information. Detta styrks av Tankard (2016) som skriver att organisationer måste samla in samtycken från sina medlemmar. Det krävs även för de känsligare uppgifter såsom den data som är relaterad till medlemmarnas träning och hälsa. Respondent 2 nämner under intervjun att data gällande hälsa inte samlas in i systemen, utan att den endast samlas in och kan nås av de personliga tränarna i deras låsta arkivskåp.

6.2 Ansvar & Involverande

Datainspektionen (2018a) förklarar tydligt att det ligger på en organisations egna ansvar att ta reda på vad den nya lagen innebär och arbeta därefter. Detta styrks även av Altorbaq, Blix och Sörman (2017) som skriver i sitt resultat, att det är av vikt att en organisation som kommer i kontakt med personuppgifter är medvetna om vilka krav den nya lagen innebär. Vad gäller involverandet i processen hos respondenterna går det tydligt att se att de är olika långt gångna

i det förberedande arbetet. Av intervjuerna att döma visar det att endast hälften av de

respondenter som intervjuats är insatta i processen. De är dock involverade på olika sätt. Den ena respondenten har redan från start engagerat sig och tagit på sig vad som krävs för att i bästa mån uppfylla lagen, medan den andre istället aktivt varit mottaglig för uppdatering av nyheter som komma skall. Informationen som sedan tagits emot har bearbetats och skapat nya tankar kring hur arbetet kommer att förändras och hur arbetssättet i framtiden kommer att se ut. Det påvisar att de två gymmen aktivt är igång och arbetar med processen. Däremot var det ingen av respondenterna som nämnde något om att arbeta fram en konsekvensanalys. Vad gäller de övriga två respondenter är de involverade engagemanget inte lika kraftigt, utan de anser att deras verksamhet är i så pass liten skala att de inte har kommit så långt i processen ännu. Oavsett detta och som Datainspektionen (2018a) nämner är det en ansvarsskyldighet som en organisation bör involvera sig i, eftersom de samlar in personlig information.

Respondenterna medger dock att målsättningen är att sätta sig in i processen och se till så att lagen efterföljs så småningom.

6.3 Typ av insamlad data

Av de resultat som framkommit visar det sig att de olika organisationerna samlar in samma typ av uppgifter som rör både personlig data samt känslig data. Det är uppgifter i form av namn, adress, personnummer, kontonummer, e-mail, medlemmars olika resultat från deras träning. Resultat som berör medlemmarnas träning är i huvudsak olika mätningar, vägningar, kostscheman, mål med träningen samt övrig information som kan vara av intresse. En av respondenterna förklarar att de inte samlar in någon medicinsk data överhuvudtaget, medan en annan respondent förklarar att de samlar in sådan information som kan vara nödvändig för en personlig tränare att veta. All denna insamlade information som framkommit ur resultatet räknas som känsliga personuppgifter. Datainspektionen (2018h) stärker detta resonemang då det förklaras att all information som går att knytas till en fysisk levande individ räknas som personuppgift. Alltså, de mätningar och resultat exempelvis från en medlem, är information som går att identifiera och knyta an till en enskild individ, och räknas därmed som känslig personuppgift då det rör sig om hälsoinformation.

6.4 Hantering & arbetssätt

De organisationer som har undersökts har alla gemensamt att de hanterar personliga uppgifter om sina medlemmar. Även känsliga uppgifter som tidigare har nämnts, samlas in och

hanteras. Som Datainspektionen (2018a) nämner så innefattar denna hantering en hel del. Det inkluderar insamling, registrering, lagring, bearbetning, spridning samt radering av data.

Dessa moment är uppgifter relaterade till det dagliga arbetet som utförs hos gymmen.

Alla gym som har intervjuats tillhandahåller ett system där informationen lagras när medlemmar exempelvis registrerar sig och bokar sig på pass. Varje medlem har alltså egen statistik, där de ser sina inloggningar samt sina bokade pass.

Respondenterna medger alla att de är medvetna om att det finns olika system och program för att lagra informationen. Dock nämner respondent 2 att just hälsodata inte samlas in i systemet, utan den informationen lagras i ett så kallat ”PT-rum” för de personliga tränarna.

Informationen är noga placerade i pärmar och sedan inlåsta i ett arkivskåp. De är endast dessa

som kan nå informationen. Respondent 3 medger att det inte samlar in hälsodata ur ett medicinskt perspektiv, men att medlemmar själva kan lägga in hälsodata av egen fri vilja. En medlem kan välja att lägga in sina personliga resultat i det system som tillhandahålls av gymmet samt även välja om denna information skall vara publik eller privat. Respondenten fortsätter och berättar att detta inte är något som hen styr över på något sätt. Enligt

Datainspektionen (2018a) beskrivs det dock tydligt att organisationer och företag som

hanterar personlig och känslig information är ansvarsskyldiga. Som platschef finns ett ansvar att informera medlemmar som väljer att publicera informationen där eftersom att det är genom denne som de har tillgång till systemet.

Hur själva informationen sedan hanteras ur ett integritets och säkerhetsperspektiv råder det delade kunskaper om. De likheter som går att urskilja hos respondenterna är att det finns skydd kring datorerna som finns på plats. Datorerna är säkrade med lösenord samt behörighetsrättigheter. Övriga tekniska skydd är svårnämnda och en av respondenterna förklarar att kompetensen inte finns hos dem och att det hade varit smidigt om det fanns någon nära till hands med kompetens inom IT för att få en bättre insikt kring säkerhet och skydd. Två av respondenterna förklarar dock att de känner sig trygga med att ha en support de kan ringa om det är något som känns oklart eller ohanterbart, ändå nämndes det ingenting om det fanns någon personuppgiftsansvarig eller personuppgiftsbiträde. Det kan dock bero på kunskapsbrist och att respondenterna inte riktigt vet vad ett sådant är.

Alla de anläggningar som intervjuats visades sig ha data om sina medlemmar i ostrukturerad form. Det var framförallt anteckningar i pappersform. Det innebär att de alla använder sig av missbruksregeln. I likhet med detta arbete förekom det även för Adolfsson, & Lundholm (2017), men att de där rörde sig mestadels om ostrukturerade data i mail-form.

In document Fitnessindustrins hantering av personuppgifter i samband med införandet av gdpr: En kvalitativ fallstudie av utvalda gym inom fitnessbranchen i Skaraborg (Page 34-37)